Testing for Cookies attributes (OTG-SESS-002)

La prueba de seguridad OTG-SESS-002, de la OTG de OWASP, propone revisar la configuración de los atributos de las cookies, comprobando que estén establecidos los valores que fortalezca sus indicadores de seguridad. Si quieres saber más sobre los atributos de las cookies puedes encontrarlo en el siguiente enlace.
Para realizar esta prueba de seguridad, bajo un enfoque de Caja Negra, se deben aplicar las siguientes técnicas:

  • Revisar que se haya establecido el atributo secure.
  • Revisar que se haya establecido el atributo HttpOnly. Aunque algunos navegadores no lo soportan, es un importante aliado para combatir los script de ataques XSS y similares.
  • Revisar que el alcance de domain no sea demasiado amplio por ejemplo si la aplicación tiene el dominio app.mydomain.com entonces la configuración debe ser “domain=app.mydomain.com” y no “domain=mydomain.com”.
  • Analizar si el atributo path está suficiente ajustada al dominio de la aplicacion, por ejemplo, siguiendo el ejemplo anterior, debe establecerse “path=/app/” y no “path=/” o “path=/app”, de otro modo, si no se pone el caracter “/” al final, la cookie podrá ser accedida a través de direcciones como app-ciberdelincuente.
  • Revisar que la cookie no tenga una fecha del futuro en el atributo expires si contiene información sensible.

Espero que este post te pueda servir para analizar las cookies que estas creando con tu aplicación web y ver si cumplen con los indicadores de seguridad recomendados. Déjame tu comentario si tienes duda o si consideras que quedó algo por decir.

Anuncios

3 comentarios en “Testing for Cookies attributes (OTG-SESS-002)

  1. Pingback: La explicación sobre las Cookies que nunca dan los libros de programación | Behique Digital

  2. Pingback: A explicação sobre os cookies que não tem os livros de programação | Behique Digital

  3. Pingback: Guía de Pruebas de OWASP 4.0 | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s